Кібербезпека банківських та комерційних структур
4. Приклад Політики інформаційної безпеки
Політика інформаційної безпеки
Вступ
Політика інформаційної безпеки описує та регламентує функціонування системи управління інформаційною безпекою (СУІБ) відповідно до стандартів Національного банку України СОУ Н НБУ 65.1 СУІБ 1.0:2010 та СОУ Н НБУ 65.1 СУІБ 2.0:2010, відповідає вимогам законодавства України та нормативно- правовим актам Національного банку України, а також вимогам міжнародних та внутрідержавних платіжних систем та систем переказу коштів.
Ціль політики
Ціллю Політики є впровадження та ефективне функціонування системи управління інформаційною безпекою, яка буде забезпечувати захист інформації та ресурсів банку від зовнішніх і внутрішніх загроз та загроз, які пов´язані з навмисними та ненавмисними діями працівників банку, забезпечувати безперервну роботу банку, сприяти мінімізації ризиків операційної діяльності банку та створювати позитивну репутацію банку при роботі з клієнтами.
Сфера застосування
Політика поширюється на банк у цілому і повинна використовуватися для всіх критичних бізнес-процесів/банківських продуктів банку.
Предмет політики
Основними принципами Політики інформаційної безпеки є підтримання належного захисту інформації із забезпеченням цілісності, конфіденційності, доступності. Це, в першу чергу, стосується інформації з обмеженим доступом, яка відноситься до “банківської таємниці”, “комерційної таємниці” та іншої конфіденційної інформації.
Банк підтримує ризик-орієнтовний підхід, який забезпечує розуміння, моніторинг та зменшення ризиків операційної діяльності. Деталі ризик- орієнтовного підходу описані в політики управління інформаційною безпекою.
Весь персонал банку обізнаний та виконує вимоги інформаційної безпеки в роботі. Під час розроблення, впровадження та функціонування програмно- технічних комплексів враховуються вимоги інформаційної безпеки.
Публічні сервіси банку та внутрішні мережі банку відповідають вимогам стандартів з інформаційної безпеки.
Банк забезпечує виконання усіх вимог з інформаційної безпеки, які наявні в угодах з третіми сторонами стосовно участі у міжнародних платіжних системах та системах переказу коштів.
Ролі та відповідальності
Керівництво банку чітко розуміє, що інформаційна безпека банку є основою життєдіяльності банку. У банку створений та постійно працює керівний орган з питань інформаційної безпеки, рішення якого є обов´язковими для виконання усім персоналом банку.
Документи Політики інформаційної безпеки розробляються підрозділом інформаційної безпеки та іншими підрозділами за відповідними напрямками діяльності. Постійний контроль впровадження, виконання, вдосконалення та підтримання Політики в актуальному стані покладений на підрозділ інформаційної безпеки.
Керівництво банку сприяє створенню, впровадженню, контролю та підтримці Політики інформаційної безпеки.
Стратегія розвитку інформаційних технологій банку, всі проекти, які пов´язані з інформаційними технологіями, узгоджуються з Політикою інформаційної безпеки.
Кожен працівник банку забезпечує підтримку відповідного рівня інформаційної безпеки банку. В межах своїх службових обов’язків та повноважень працівники повинні виконувати та відповідати за виконання вимог Політики, законодавчих, регуляторних і внутрішньобанківських норм і несуть відповідальність за їх порушення згідно із законодавством України та внутрішньобанків- ськими нормативними документами.
Документи Політики доступні працівникам банку у межах їх повноважень і призначені надавати допомогу у виконанні вимог інформаційної безпеки.
Для зменшення ризиків виникнення інцидентів інформаційної безпеки керівництво банку створює працівникам умови для систематичного навчання нормам та заходам інформаційної безпеки.
У банку складаються, діють, тестуються та оновляються плани забезпечення безперебійного функціонування на випадок непередбачених критичних ситуацій.